Questo documento fornisce una panoramica sull'utilizzo di Cloud Key Management Service (Cloud KMS) per le chiavi di crittografia gestite dal cliente (CMEK). L'utilizzo della CMEK di Cloud KMS ti offre la proprietà e il controllo delle chiavi che proteggono i tuoi dati at-rest in Google Cloud.
Confronto tra CMEK e chiavi di proprietà e gestite da Google
Le chiavi Cloud KMS che crei sono chiavi gestite dal cliente. Si dice che i servizi Google che utilizzano le tue chiavi abbiano un'integrazione CMEK. Puoi gestire queste CMEK direttamente o tramite la chiave automatica Cloud KMS (anteprima). I seguenti fattori differenziano la crittografia at-rest predefinita di Google dalle chiavi gestite dal cliente:
| Tipo di token | Gestita dal cliente con Autokey (anteprima) | Gestita dal cliente (manuale) | Di proprietà di Google e gestito da Google (impostazione predefinita di Google) |
|---|---|---|---|
| Può visualizzare i metadati della chiave | Sì | Sì | Sì |
| Proprietà delle chiavi1 | Cliente | Cliente | |
| Può gestire e controllare2 tasti3 | La creazione e l'assegnazione delle chiavi sono automatizzate. Il controllo manuale del cliente è completamente supportato. | Cliente, solo controllo manuale | |
| Supporta i requisiti normativi per le chiavi gestite dal cliente | Sì | Sì | No |
| Condivisione della chiave | Solo per il cliente | Solo per il cliente | I dati provenienti da più clienti utilizzano in genere la stessa chiave di crittografia della chiave (KEK). |
| Controllo della rotazione della chiave | Sì | Sì | No |
| Criteri dell'organizzazione CMEK | Sì | Sì | No |
| Prezzi | Variabile: per ulteriori informazioni, consulta la sezione Prezzi. Nessun costo aggiuntivo per la chiave automatica (anteprima) | Variabile. Per ulteriori informazioni, consulta la sezione Prezzi | Gratis |
1 In termini legali, il proprietario della chiave indica chi detiene i diritti sulla chiave. Le chiavi di proprietà del cliente hanno accesso strettamente limitato o nessun accesso da parte di Google.
2 Controllo dei tasti significa impostare controlli sul tipo di chiavi e su come vengono utilizzate, rilevare le variazioni e pianificare azioni correttive, se necessario. Puoi controllare le chiavi, ma delerne la gestione a una terza parte.
3 La gestione delle chiavi include le seguenti funzionalità:
- Creare chiavi.
- Scegli il livello di protezione delle chiavi.
- Assegna l'autorità per la gestione delle chiavi.
- Controlla l'accesso alle chiavi.
- Controlla l'utilizzo dei tasti.
- Imposta e modifica il periodo di rotazione delle chiavi o attiva una rotazione delle chiavi.
- Modifica lo stato della chiave.
- Elimina le versioni della chiave.
Crittografia predefinita con chiavi di proprietà e gestite da Google
Tutti i dati archiviati in Google Cloud vengono criptati at-rest mediante gli stessi sistemi di gestione delle chiavi rafforzati che Google utilizza per i propri dati criptati. Questi sistemi di gestione delle chiavi offrono controlli e audit rigorosi di accesso alle chiavi e criptano i dati utente at-rest utilizzando lo standard di crittografia AES-256. Google possiede e controlla le chiavi utilizzate per criptare i tuoi dati. Non puoi visualizzare o gestire queste chiavi né esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave (KEK). Non sono necessarie operazioni di configurazione, configurazione o gestione.
Per ulteriori informazioni sulla crittografia predefinita in Google Cloud, consulta Crittografia at-rest predefinita.
Chiavi di crittografia gestite dal cliente (CMEK)
Le chiavi di crittografia gestite dal cliente sono chiavi di crittografia di tua proprietà. Questa funzionalità ti consente di avere un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati e fornisce un confine crittografico intorno ai tuoi dati. Puoi gestire le CMEK direttamente in Cloud KMS o automatizzare il provisioning e l'assegnazione utilizzando la chiave automatica di Cloud KMS (anteprima).
I servizi che supportano CMEK hanno un'integrazione CMEK. L'integrazione CMEK è una tecnologia di crittografia lato server che puoi utilizzare al posto della crittografia predefinita di Google. Dopo la configurazione della CMEK, le operazioni per criptare e decriptare le risorse vengono gestite dall'agente di servizio delle risorse. Poiché i servizi integrati con CMEK gestiscono l'accesso alla risorsa criptata, crittografia e decriptazione possono essere eseguite in modo trasparente, senza l'intervento dell'utente finale. L'esperienza di accesso alle risorse è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sull'integrazione CMEK, vedi Cosa fornisce un servizio integrato con CMEK.
Puoi utilizzare versioni illimitate per ogni chiave.
Per scoprire se un servizio supporta le chiavi CMEK, consulta l'elenco dei servizi supportati.
L'utilizzo di Cloud KMS comporta costi relativi al numero di versioni delle chiavi e alle operazioni di crittografia con quelle versioni della chiave. Per ulteriori informazioni sui prezzi, consulta la pagina relativa ai prezzi di Cloud Key Management Service. Non sono richiesti impegni o acquisti minimi.
Chiavi di crittografia gestite dal cliente (CMEK) con chiave automatica Cloud KMS
Cloud KMS Autokey semplifica la creazione e la gestione delle chiavi CMEK automatizzando il provisioning e l'assegnazione. Con Autokey, i keyring e le chiavi vengono generati on demand nell'ambito della creazione delle risorse, mentre agli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decriptazione vengono concessi automaticamente i ruoli IAM (Identity and Access Management) necessari.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui l'allineamento della posizione dei dati delle chiavi, la specificità delle chiavi, il livello di protezione del modulo di sicurezza hardware (HSM), il piano di rotazione della chiave e la separazione dei compiti. Autokey crea chiavi che seguono sia le linee guida generali sia le linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Autokey. Chiavi create utilizzando la funzione Autokey identicamente con altre chiavi Cloud HSM (Cloud HSM) con le stesse impostazioni, incluso il supporto per i requisiti normativi per le chiavi gestite dal cliente. Per ulteriori informazioni su Autokey, consulta la Panoramica delle chiavi automatiche.
Quando utilizzare le chiavi gestite dal cliente
Puoi utilizzare chiavi CMEK create manualmente o chiavi Autokey nei servizi compatibili per raggiungere i seguenti obiettivi:
Possiedi le tue chiavi di crittografia.
Controlla e gestisci le tue chiavi di crittografia, inclusi la scelta della località, il livello di protezione, la creazione, controllo dell'accesso dell'accesso, la rotazione, l'utilizzo e l'eliminazione.
Genera o gestisci il materiale della chiave al di fuori di Google Cloud.
Imposta i criteri relativi alla posizione in cui devono essere utilizzate le chiavi.
Elimina selettivamente i dati protetti dalle tue chiavi in caso di off-boarding o per risolvere gli eventi di sicurezza (crypto-shredding).
Utilizza chiavi univoche per ciascun cliente, in modo da stabilire un confine crittografico intorno ai tuoi dati.
Crea chiavi univoche per un cliente al fine di stabilire un confine crittografico intorno ai tuoi dati.
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.
Che cosa offre un servizio integrato con CMEK
Come la crittografia predefinita di Google, la CMEK è la crittografia lato server simmetrica e a busta dei dati dei clienti. La differenza dalla crittografia predefinita di Google è che la protezione CMEK utilizza una chiave controllata dal cliente. Le chiavi CMEK create manualmente o automaticamente utilizzando Autokey funzionano allo stesso modo durante l'integrazione del servizio.
I servizi cloud con un'integrazione CMEK utilizzano le chiavi create in Cloud KMS per proteggere le risorse.
I servizi integrati con Cloud KMS utilizzano la crittografia simmetrica.
Il livello di protezione della chiave è sotto il tuo controllo.
Tutte le chiavi sono in formato AES-GCM a 256 bit.
Il materiale della chiave non lascia mai il confine di sistema di Cloud KMS.
Le chiavi simmetriche vengono utilizzate per criptare e decriptare nel modello di crittografia busta.
I servizi integrati con CMEK monitorano chiavi e risorse
Le risorse protette da CMEK hanno un campo di metadati contenente il nome della chiave che le cripta. In genere, saranno visibili al cliente nei metadati della risorsa.
Il monitoraggio delle chiavi indica le risorse protette da una chiave.
Le chiavi possono essere elencate per progetto.
I servizi integrati con CMEK gestiscono l'accesso alle risorse
L'entità che crea o visualizza le risorse nel servizio integrato con CMEK
non richiede l'utilità di crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) per la CMEK utilizzata per proteggere la risorsa.
Ogni risorsa del progetto ha un account di servizio speciale chiamato agente di servizio che esegue la crittografia e la decriptazione con chiavi gestite dal cliente. Dopo aver conceduto all'agente di servizio l'accesso a una CMEK, l'agente di servizio utilizzerà quella chiave per proteggere le risorse che preferisci.
Quando un richiedente vuole accedere a una risorsa criptata con una chiave gestita dal cliente, l'agente di servizio tenta automaticamente di decriptare la risorsa richiesta. Se l'agente di servizio dispone dell'autorizzazione per decriptare utilizzando la chiave e non hai disabilitato o eliminato la chiave, l'agente di servizio fornisce l'utilizzo di crittografia e decriptazione della chiave. In caso contrario, la richiesta non va a buon fine.
Non è richiesto alcun accesso aggiuntivo al richiedente e, poiché l'agente di servizio gestisce la crittografia e la decrittografia in background, l'esperienza utente per l'accesso alle risorse è simile all'utilizzo della crittografia predefinita di Google.
Utilizzo di Autokey per CMEK
Per ogni cartella in cui vuoi utilizzare Autokey, è previsto un processo di configurazione una tantum. Dovresti scegliere una cartella in cui utilizzare il supporto per Autokey e un progetto di chiavi associato in cui Autokey archivia le chiavi per quella cartella. Per ulteriori informazioni sull'abilitazione della chiave automatica, consulta Abilitare la chiave automatica di Cloud KMS.
Rispetto alla creazione manuale delle chiavi CMEK, Autokey non richiede i seguenti passaggi di configurazione:
Gli amministratori delle chiavi non devono creare manualmente keyring o chiavi né assegnare privilegi agli agenti di servizio che criptano e decriptano i dati. L'agente di servizio Cloud KMS esegue queste azioni per suo conto.
Gli sviluppatori non devono pianificare in anticipo per richiedere le chiavi prima della creazione della risorsa. Possono richiedere autonomamente le chiavi ad Autokey in base alle esigenze, pur mantenendo la separazione dei compiti.
Quando utilizzi Autokey, è previsto un solo passaggio: lo sviluppatore richiede le chiavi durante la creazione della risorsa. Le chiavi restituite sono coerenti per il tipo di risorsa previsto.
Le chiavi CMEK create con Autokey si comportano come quelle create manualmente per le seguenti funzionalità:
I servizi integrati con CMEK si comportano allo stesso modo.
L'amministratore delle chiavi può continuare a monitorare tutte le chiavi create e utilizzate tramite la dashboard di Cloud KMS e il monitoraggio dell'utilizzo delle chiavi.
I criteri dell'organizzazione funzionano allo stesso modo con le chiavi CMEK create manualmente.
Per una panoramica della funzione Autokey, vedi Panoramica della chiave automatica. Per saperne di più sulla creazione di risorse protette da CMEK con Autokey, vedi Crea risorse protette utilizzando la chiave automatica Cloud KMS.
Creare manualmente le chiavi CMEK
Quando crei manualmente le chiavi CMEK, i keyring, le chiavi e le località delle risorse, è necessario pianificare e creare prima della creazione della risorsa. Puoi quindi utilizzare le chiavi per proteggere le risorse.
Per i passaggi esatti per abilitare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati relativi al servizio. Puoi aspettarti di seguire passaggi simili ai seguenti:
Crea un keyring Cloud KMS o scegline uno esistente. Quando crei il keyring, scegli una località geograficamente vicina alle risorse che stai proteggendo. Il keyring può trovarsi nello stesso progetto delle risorse che stai proteggendo o in progetti diversi. L'utilizzo di progetti diversi offre un maggiore controllo sui ruoli IAM e contribuisce alla separazione dei compiti.
Puoi creare o importare una chiave Cloud KMS nel keyring scelto. Questa è la chiave CMEK.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK all'account di servizio per il servizio.Quando crei una risorsa, configurala in modo che utilizzi la chiave CMEK. Ad esempio, puoi configurare un cluster GKE per utilizzare CMEK per proteggere i dati at-rest sui dischi di avvio dei nodi.
Per consentire a un richiedente di accedere ai dati, non ha bisogno dell'accesso diretto alla chiave CMEK.
Finché l'agente di servizio dispone del ruolo Autore crittografia/decriptazione CryptoKey, il servizio può criptare e decriptare i relativi dati. Se revochi questo ruolo o se disabiliti o distruggi la chiave CMEK, non sarà possibile accedere a questi dati.
Conformità CMEK
Alcuni servizi hanno integrazioni CMEK e ti consentono di gestire le chiavi autonomamente. Alcuni servizi offrono invece la conformità a CMEK, il che significa che i dati temporanei e la chiave temporanea non vengono mai scritti su disco. Per un elenco completo dei servizi integrati e conformi, vedi Servizi compatibili con CMEK.
Monitoraggio dell'utilizzo chiave
Il monitoraggio dell'utilizzo delle chiavi mostra le risorse Google Cloud all'interno della tua organizzazione protette dalle tue chiavi CMEK. Utilizzando il monitoraggio dell'utilizzo delle chiavi, puoi visualizzare le risorse protette, i progetti e i prodotti Google Cloud univoci che utilizzano una chiave specifica e indicare se le chiavi sono in uso. Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta Visualizzare l'utilizzo delle chiavi
Criteri dell'organizzazione CMEK
Google Cloud offre vincoli dei criteri dell'organizzazione per garantire un utilizzo coerente di CMEK in una risorsa dell'organizzazione. Questi vincoli forniscono agli amministratori dell'organizzazione controlli per richiedere l'utilizzo di CMEK e specificare limitazioni e controlli sulle chiavi Cloud KMS utilizzate per la protezione da CMEK, tra cui:
Limiti relativi alle chiavi Cloud KMS utilizzate per la protezione da CMEK
Limiti sui livelli di protezione delle chiavi consentiti
Limiti della posizione delle chiavi CMEK
Controlli per l'eliminazione della versione della chiave
Per saperne di più sui criteri dell'organizzazione per CMEK, vedi Criteri dell'organizzazione CMEK.
Passaggi successivi
- Visualizza l'elenco dei servizi con integrazioni CMEK.
- Visualizza l'elenco dei servizi conformi a CMEK.
- Consulta l'elenco dei tipi di risorse che possono avere il monitoraggio dell'utilizzo della chiave.
- Consulta l'elenco dei servizi supportati da Chiave automatica.